ISO 27001 Zertifizierung: der Weg zum Zertifikat

Von Joachim Reinke

März 2, 2023

Audit, ISO 27001, Zertifizierung, Zertifizierungsaudit

Wer sich zum ersten Mal mit ISO 27001 beschäftigt, stolpert schnell über Begriffe wie Stage 1, Stage 2, Überwachungsaudit und Rezertifizierung. Das klingt am Anfang unnötig kompliziert.

In Wirklichkeit folgt eine ISO 27001-Zertifizierung aber einem recht klaren Ablauf. Wenn man die einzelnen Schritte einmal sauber verstanden hat, wird das Ganze deutlich greifbarer.

Genau darum geht es in diesem Artikel.

Die kurze Antwort

Eine ISO 27001-Zertifizierung läuft typischerweise in diesen Schritten ab:

Passende Zertifizierungsstelle auswählen.
Zertifizierungsaudit planen.
Zertifizierungsaudit Stage 1 durchführen.
Zertifizierungsaudit Stage 2 durchführen.
Zertifizierungsentscheidung und Zertifikat erhalten.
Ein Jahr später das Überwachungsaudit 1 durchlaufen.
Ein weiteres Jahr später das Überwachungsaudit 2 durchlaufen.
Ein weiteres Jahr später das Rezertifizierungsaudit durchführen (siehe Schritt 3.).

Wichtig ist: Die Zertifizierung besteht nicht nur aus einem einmaligen Audit. Sie läuft in einem dreijährigen Zyklus.

Schritt 1: Eine passende Zertifizierungsstelle auswählen

Ohne Zertifizierungsstelle keine Zertifizierung. Der erste praktische Schritt ist deshalb die Auswahl eines Anbieters, der ISO 27001-Zertifizierungen durchführen darf.

Wichtig ist dabei, dass die Stelle akkreditiert ist. Eine Akkreditierung bedeutet, dass die Stelle qualitätsüberwacht wird.

Es gibt staatliche, nationale Akkreditierungsstellen: in Deutschland die Deutsche Akkreditierungs-Stelle (DAkkS), in Österreich die Akkreditierung Austria, in der Schweiz die Schweizerische Akkreditierungsstelle (SAS)
und es gibt nicht-staatliche, internationale Akkreditierungsstellen: bspw. die Accreditation Services Worldwide (ASCB) oder International Accreditation Service (IAS).

Über die Suchmaschine der DAkkS können alle in Deutschland akkreditierten Zertifizierungsstellen öffentlich recherchiert werden. Die meisten Akkreditierungsstellen stellen ebenfalls eine Suchfunktion zur Verfügung.

Bei der Auswahl einer Zertifizierungsstelle kann es eine Rolle spielen, wo diese akkreditiert ist. Wenn Ihre Kunden eine ISO 27001-Zertifizierung verlangen, können sie gewisse Wünsche an das Zertifikat haben - und daran, wer es ausgestellt hat und wo diese Stelle akkreditiert ist.

Dies sollten Sie bei der Auswahl berücksichtigen.

Der Preis spielt dabei natürlich eine Rolle. Aber er sollte nicht das einzige Kriterium sein. Denn mit der Auswahl entscheiden Sie sich nicht nur für ein Audit, sondern meist gleich für einen meist dreijährigen Zertifizierungszyklus.

Schritt 2: Zertifizierungsaudit planen

Wenn die Zertifizierungsstelle feststeht, wird der Ablauf geplant. Dazu gehören unter anderem:

Auditumfang und Scope abstimmen;
Audittermine festlegen;
Stage 1 und Stage 2 einplanen;
relevante Ansprechpartner benennen;
Das Managementsystem etablieren, Unterlagen und Nachweise vorbereiten.

Genau hier zeigt sich oft schon, ob ein Unternehmen wirklich auditreif ist oder nur hofft, irgendwie durchzukommen.

Schritt 3: Zertifizierungsaudit Stage 1 durchführen

Stage 1 ist die erste Stufe des Erstzertifizierungsaudits.

Hier prüft der Auditor vor allem, ob Ihr ISMS grundsätzlich so aufgestellt ist, dass die eigentliche Zertifizierungsprüfung sinnvoll stattfinden kann. Zertifizierungsstellen beschreiben Stage 1 als Prüfung der Standortbedingungen, des Scopes, des Verständnisses der Normanforderungen sowie der Frage, ob Risikomanagement, internes Audit und Managementbewertung geplant und durchgeführt wurde - und ob der Umsetzungsstand für Stage 2 ausreicht.

Praktisch bedeutet das:

Ihre zentralen Regelungen sollten stehen.
Der Anwendungsbereich Ihres ISMS steht fest.
Risikobetrachtung und Anwendbarkeitserklärung (SoA) sollten belastbar sein
Internes Audit und Managementbewertung sollten erfolgt sein.
Das System sollte nicht nur angefangen, sondern reif genug sein

Stage 1 ist also kein bloßes Vorgespräch. Es ist die Prüfung, ob Sie für die eigentliche Zertifizierung bereit sind.

Schritt 4: Zertifizierungsaudit Stage 2 durchführen

Stage 2 ist die eigentliche Zertifizierungsprüfung.

Jetzt schaut der Auditor nicht mehr nur auf Unterlagen, sondern auf die reale Umsetzung in Ihrem Unternehmen. Es geht also um Fragen wie:

Werden die festgelegten Regeln tatsächlich angewendet?
Sind Verantwortlichkeiten klar?
Funktionieren technische und organisatorische Maßnahmen?
Können die zuständigen Personen ihr System erklären?
Gibt es belastbare Nachweise aus dem Alltag?

Genau an dieser Stelle zeigt sich, ob das ISMS ein echtes Managementsystem ist oder nur eine schöne Dokumentensammlung.

Schritt 5: Zertifizierungsentscheidung und Zertifikat erhalten

Wenn das Audit erfolgreich verläuft, ist damit noch nicht automatisch in derselben Minute das Zertifikat "ausgedruckt". Die eigentliche Entscheidung erfolgt nicht durch den Auditor selbst, sondern später, in der Zertifizierungsstelle auf Basis der Empfehlung des Auditors.

Für Unternehmen ist der praktische Punkt aber einfach: Nach erfolgreicher Prüfung und positiver Entscheidung wird das Zertifikat erteilt.

Schritt 6: Überwachungsaudit 1

Mit der Erstzertifizierung ist das Thema nicht erledigt.

Ein Jahr nach dem Zertifizierungsaudit erfolgt das Überwachungsaudit 1. Es besteht aus einer Stichprobenprüfung Ihres ISMS, deren Schwerpunkt und Fokus der Auditor festlegt.

Es dient dazu sicherzustellen, dass das ISMS weiter betrieben wird und wirksam bleibt.

Schritt 7: Überwachungsaudit 2

Ein weiteres Jahr später (zwei Jahre nach dem Zertifizierungsaudit) erfolgt das Überwachungsaudit 2. Es besteht wieder aus einer Stichprobenprüfung Ihres ISMS, deren Schwerpunkt und Fokus der Auditor festlegt und dient demselben Zweck wie Überwachungsaudit 1.

Für viele Unternehmen ist genau das eine wichtige Erkenntnis: ISO 27001 ist kein Einmalprojekt, sondern ein laufendes Managementsystem.

Schritt 8: Rezertifizierungsaudit durchführen

Nach dem Ende des Zyklus folgt die Rezertifizierung. Genau wie schon in Schritt 3 beschrieben, wird dabei wieder umfassender geprüft, ob Ihr Managementsystem weiterhin normkonform und wirksam ist. Danach beginnt der Zyklus erneut.

Was viele beim Ablauf einer ISO-27001-Zertifizierung falsch einschätzen

Die meisten Fehleinschätzungen passieren an diesen Stellen:

Es wird nur an die Erstzertifizierung gedacht: Viele rechnen mit einem einmaligen Audit. Tatsächlich ist die Zertifizierung ein laufender Zyklus.
Stage 1 wird unterschätzt: Manche behandeln Stage 1 fast wie eine Formalität. In Wirklichkeit zeigt sich dort oft schon, ob das System wirklich reif ist.
Die Auswahl der Zertifizierungsstelle wird zu leicht genommen: Der billigste Anbieter ist nicht automatisch die beste Wahl.
Das Thema wird zu spät geplant: Wer sich erst sehr spät um Zertifizierer und Termine kümmert, verliert oft unnötig Zeit. Zertifizierungsstellen haben Vorlaufzeit.

Worauf es bei der Auswahl der Zertifizierungsstelle wirklich ankommt

Diese Punkte sollten Sie besonders beachten:

Akkreditierung;
Erfahrung im passenden Umfeld;
brauchbare Kommunikation;
realistische Terminplanung;
Auditoren, die fachlich und menschlich passen;
nachvollziehbare Kostenstruktur.

Gerade weil man mit der Stelle meist mehrere Jahre zusammenarbeitet, lohnt es sich, hier sauber auszuwählen.

FAQ

Muss nach ISO 27001 zwingend ein ISB bestellt werden?

Typischerweise über Auswahl einer akkreditierten Zertifizierungsstelle, Stage 1, Stage 2, Zertifizierungsentscheidung, Überwachungsaudits und spätere Rezertifizierung.

Muss die Zertifizierungsstelle akkreditiert sein?

Rechtlich ist nicht jede Form von Zertifizierung verboten, aber für ein belastbares und am Markt akzeptiertes Zertifikat ist eine akkreditierte Stelle in der Regel die richtige Wahl. Je nachdem, für welchen Zweck das Zertifikat benötigt wird, können hier auch bestimmte Akkreditierungen vorgegeben - oder zumindest gewünscht sein.

Was ist der Unterschied zwischen Stage 1 und Stage 2?

Stage 1 prüft die grundsätzliche Reife und Vorbereitung des ISMS. Stage 2 prüft die tatsächliche Umsetzung in der Praxis.

Ist die ISO-27001-Zertifizierung ein Einmalprojekt?

Nicht erst kurz vor dem Wunschaudit. Sinnvoll ist eine frühzeitige Planung, damit Termine, Auditoren und interner Reifegrad zusammenpassen.

Was ist der häufigste Fehler beim Zertifizierungsablauf?

Viele Unternehmen denken zu stark an den Audittermin und zu wenig an den gesamten Zyklus aus Vorbereitung, Erstzertifizierung, Überwachung und Rezertifizierung.

Unser Tipp

Der Ablauf einer ISO-27001-Zertifizierung ist klarer, als er anfangs wirkt.

Wer versteht, dass der Weg nicht nur aus einem Audit besteht, sondern aus Auswahl der Zertifizierungsstelle, Stage 1, Stage 2, laufender Überwachung und späterer Rezertifizierung, kann das Projekt deutlich besser planen und realistischer angehen. Genau das spart am Ende Zeit, Nerven und unnötige Schleifen.

Interesse geweckt?

Wenn Sie den Ablauf Ihrer ISO-27001-Zertifizierung realistisch planen wollen und einen Weg suchen, der nicht in Hektik und Missverständnissen endet, sprechen Sie mit uns (kostenfrei) oder schreiben uns etwas gleich hier rechts unten auf der Seite in den Chat!

Share 0

Post 0

Share0

Über den Autor

Joachim Reinke

Joachim Reinke unterstützt seit 2017 Unternehmen beim Aufbau praxistauglicher Managementsysteme für Informationssicherheit und Qualität. In dieser Zeit hat er bereits mehr als 100 Unternehmen begleitet. Er ist zertifizierter Lead Auditor und als Dozent für Informationssicherheit und Qualitätsmanagement bei Zertifizierern und Trainingsanbietern tätig. Kunden schätzen besonders seine klare, praxisnahe und verständliche Vermittlung auch anspruchsvoller Inhalte.